Ши 


00000 /Dazibukaikou 


LI I | 


O IIIIIIIIIII IIIIIIIIIII 
e [D] web 0107000000000000000000000000000000 
e LUUUUUUUUUUUUUUUUUUUUUUU 


LIIIIIIIII III LI I 


LI I III II III II II I II 


QQ 上 你 点 啊 点 -HS5 拿 你 的 授权 - 微 博 oauth 有 点 弱 - 提 权 进 了 你 微 博 11 Мау 2016 

所 我 的 链接 我 就 可 能 会 进入 你 的 知 平 账号 18 Dec 2015 

点 我 的 链接 我 就 可 能 会 进入 你 的 聚 美 优 品 账号 18 Dec 2015 

微 博 上 你 点 我 的 链接 我 就 可 xss 你 并 可 拿 到 httponly 的 cookie 及 其 他 危害 12 Dec 2015 

你 windows 上 开 着 QQ 点 了 我 的 链接 我 就 进 了 你 的 qq 邮箱 财 付 通 等 (任意 腾讯 xss 拿 qq 的 clientkey) 24 Nov 2015 
网 易 用 户 登 陆 状 态 下 点 我 的 链接 我 就 可 进入 其 邮箱 、 云 笔记 等 服务 (不 支持 某 些 版 本 |E) 20 Oct 2015 

微 信 公 众 号 管理 员 后 台 点 击 我 友 的 消息 链接 ， 公 众 号 介绍 等 设置 就 会 被 修改 ( 绕 过 csrf 防 护 ) 25 Aug 2015 
通过 一 糯米 XS5 可 绕 chrome 并 可 用 两 种 方式 拿 到 httponly 的 BDUSS (大 部 分 非 lE 用 户 点 击 后 百度 云 盘 资料 会 被 泄露 ) 
微 博 上 你 点 我 发 的 链接 我 就 可 以 登 上 你 的 微 博 (web 版 app 端 均 可 两 个 漏洞 一 并 提交 ) 03 Jul 2015 

乌云 某 临 时 授权 查看 链接 在 某 些 极 小 可 能 性 下 有 港 圳 的 可 能 20 Маг 2015 

微 博 上 点 开 我 发 的 链接 我 就 可 登 进 你 的 淘宝 支付 宝 和 微 博 可 盗号 (poc 中 附 若干 从 洞 ) 04 Mar 2015 

聊 着 聊 着 我 就 上 了 你 .……… 的 微 信 (两 处 都 可 以 支持 微 信 登录 的 漏洞 ) 31 Jul 2014 

可 以 欺骗 劫持 进入 来 往 用 户 的 帐号 22 Oct 2013 

手机 版 QO 空间 身份 因素 可 被 盗用 (主动 截获 用 户 sid) 03 Jul 2013 


LI I II О 


0008 OOOO 


00000000 * 
LIII LI III I. | 
0000 


ШИ 
ПП 


LI I I I IL IL. 


OÙ = 00 + 00 0000 
LI II II ILIIIIIILIL LI II II IIIII II III I. 
ШИН LI II II IIIII III I II II. 


ШИН ШИШ! 


LI II II III II IL. 


login csrf 
0000000 csrf 


Setcookie 


00000 setcookie 0(00000000000 cookie 
http://www.website.com/setcookie.php?key=XXXXXXXX 


UUUUUUUU 
UUUUUU app 00000000000000000, 
http://login.website.com/sso.php?token=XXXXXXXX 


URL Scheme III I II II) 


LI III II III II III 


1000000 

LI 
https://wx.website.com/cgi-bin/mmwebwx-bin/webwxnewloginpage? 
ticket=XXXXXX&uuid=gab7NVa-HA==&lang=zh CN&scan=1525192841 


0000000 
0000000000000000000000000000000000000000 


ШИ 
0909000000000000000000000 


000 


HUULI 


0000 
0000 00000 | Арроо | 0000 | 000000 ШЕ 
000 000000 
0000 0000 Ни 0000 0000 0000 

000 

000 
Selfxss 

ї 
Selfxss 


LI 


LI I I I III III 


LI II III III 


LI I III II II II III 
ШИШ 
LII III III III IL. 


LI I III II II II I I I 
ШИШ 
ШИШ ЕИ 


ШИ 


UUUUUUU 


ШИНИ III IL) 


1. 0000000000000 
2. 01000000000000000000 


LI I I I III III 


LI II III II II. 


LII IILI II II III 
o LUUUUUUUUUU 


UUUUUUUUUUUDU 
° 10000000 www.mepsite.com ПОП www.website.com (00000000 Kss 00 
<script src="http://www.website.com/api.php?jsonp=XXXXX"></script> 


o || Oauth 00000000000000000000000000000000 


Oauth UUUUUUUUU 


ӨГЇШ ШИШ 
http://www.website.com/oauth/redirect/bind/weibo?next=/oauth/ 
callback 


000000 csrf 10000000000000000000 


e (100000000000000000000000000000000000000000000000000000000 
LI I LI IL. 


e IIIIIIIIIIIIIIIIIC5IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII 
LII I III IIIIIIIIIIIIIIIIIII II III III III IL. 


http://www.website.com/oauth/bindweibo? 
platftorm=weibo&state=XXXXXXX&code=XXXXXXXXXXXX 


Oauth (00000000 


Ши 


e IIIIIIIIIIIIIIIIIIIIII0ICCI0VIი=1815C 


o [D callback (00000 state В00000000000000 
https://api.mouweibo.com/oauth2/authorize? 

client id=3977697501&redirect Uri=xxxxxxxxx&response type=code& 
state=xxxx&forcelogin=false 


o [state 0UUUUU cookie (00000 setcookie (00000000 
State ПП cookie 050000000000 XXXXXX=state 000000 value 00 


ШИШ 


UUUUUUUUUDU 


e UUUUUUUUUUUUUIF 0000000000 
o LUUUUUUUUU 
e IIIIIIIIIIIIII 


Ши 


LII I IIIIIIIIIIIIII 


LI I I I IL. 


e |I IIIIIIIIIIIIIIIIIII II LII III II II III II IIII 
ШИШ 


e II Ш IILI III 
ШИШ 


00000 logincsrf...... 


LI I II IL IL. 


o "UDUD ШИШ 
LII III IIIIIII III 

00000 logincsrf 000 
e "UU Ши 
LII III IIIII III III I. 


OOL 


app I I I. 


ШИШ  Царр 00000000000 
LII III II II Е III III I 


00000 
Webview ПП 
url schemes (000 


LI III II III 


00000000 ftp L 
00 memcache [100000 
00 


00000 csrf 


LI II I III III 


@ |IIIIIIIIIIIIIII 00000 арр 000000000 
0000008 app 000 ПОО DNS... 
| МИНИ! 000000 00000000 logincsrf 


LII III II ILIIII III 


Өө!!! ШИ III III 
OOL 


9IIIIIIIII III II 
OOL 


HUULI 


ШИ 1... 
ШИШ 


[100000000 selfxss 


selfxss (00 
00 cookie 00000000000000 


0900008 

e UUUUUUUUUUUU X55 ППШШП......П 
ө IIIIIIIIIIIII 

e [UL] 

өг 


selfxss [N000000000000 


Selfxss ШЇЇ 


A.website.com ||) || | +A.website.com | selfxss+B. website.com | cookiexss=B. 
website.com | reflect Kss 


localstorage (1000 


selfxss 


LI B.weisite.com | document.domain=weisite.com 
A.weisite.com | ||| | | | B.weisite.com 


selfxss | || 


Өө!!! ЇЇ) 
4 (INT 


selfxss [1100000000 


http://sso.mepsite.com/login.php?appurl=http://A.website.com/selfxss.php 
sso.mepsite.com [] A.website.com [][][] ticket 


111 http://A.website.com/selfxsspage.php?ticket=XXXXXXXX 
selfxss [|] Window.location 


2 (| http://A.website.com/login.php?ticket=XXXXXXXX 
js ПОО http://A.website.com/selfxsspage.php 
selfxss [][] referer 


3 LI http://A.website.com/login.php?ticket=XXXXXXXX 
302 (ПО http://A.website.com/selfxsspage.php 
008 


selfxss [1000000000 


3 O http://A.website.com/login.php?ticket=XXXXXXXX 
302 [100] http://A.website.com/selfxsspage.php 


© selfxss | | | cookie 

© 

000 iframe [] src=http://sso.mepsite.com/login.php?appurl=http://A.website.co 
m/selfxss.php 

6 http://A.website.com/login.php?ticket=XXXXXXXX 0000000000 
iframe.contentWindow.location.href 00000 iframe (000000000 ticket 


00000000000000 ticket 0000000 


HUULI 


== 0000 
0000 00000 | Appm | 0000 | 000000 ШЕ 
000 000000 
0000 0000 = 0000 0000 0000 
мн - 0000 . | am Ш 1. oo | 00000 | -000000 | 70000000 | -00000 | -000 
-Ш | JA - 000000 000 1 П -000 
N - 000 xss - 00000 N 
mo | a | 一 — | -00000000 | -0000 | Ga; | 70000 | -oo — — | ansan | 一 
i - 000000 н 
Selfxss _ 22 _ - 000000 _ N _ == _ _ _ > 
ї - 000000 
Selfxss - (000 
: — |-ooo | UU es = = = == = J. = = 


HUULI 


1. 000000000000000000000 csrf 0000000000 
2. 00000000000 
3. 000000000000000 


ibo@ | I I III 


00000 we 


